Pickai: опасный бэкдор, скрывающийся в вашем AI-стеке

27 мая 2025 года Национальный центр кибербезопасности Китая выпустил экстренное предупреждение о множественных уязвимостях в фреймворке ComfyUI, которые активно эксплуатируются хакерскими группами. Владельцам инфраструктуры с развернутыми AI-моделями рекомендовано немедленно принять меры для предотвращения вторжений и утечек данных.

Описание

ComfyUI, популярный инструмент для генерации изображений на базе крупных AI-моделей, стал мишенью для киберпреступников из-за массового внедрения в корпоративные системы. Лаборатория QiAnXin XLab, отслеживающая угрозы в сфере искусственного интеллекта, обнаружила новую вредоносную программу - Pickai, специализирующуюся на краже конфиденциальных данных, связанных с AI.

17 марта 2025 года система мониторинга XLab зафиксировала подозрительную активность с IP-адреса 185.189.149.151, который использовал уязвимости ComfyUI для распространения ELF-файлов, замаскированных под конфигурационные (например, config.json, tmux.conf). Анализ показал, что это вариации одного и того же бэкдора, который получил название Pickai - отсылка к слову "pickpocket" (карманник).

Pickai написан на C++ и отличается высокой скрытностью. Несмотря на компактный размер, он поддерживает удаленное выполнение команд и обратные подключения (reverse shell).

Особенности бэкдора включают:

Скрытность на хост: Pickai использует антиотладочные техники, подмену имени процесса и несколько механизмов персистентности. Например, он копирует себя в разные системные директории, синхронизируя время модификации с /bin/sh, чтобы избежать подозрений. Для маскировки под легитимные процессы бэкдор случайным образом выбирает имя из заранее подготовленного списка, включающего названия вроде [kworker], [khugepaged] и других системных демонов.
Устойчивость в сети: Хотя Pickai не шифрует трафик, он использует несколько резервных C2-серверов (командных центров), автоматически переключаясь между ними при недоступности основного. Это делает его более устойчивым к блокировкам.
Масштабы заражения: В ходе исследования XLab обнаружила незарегистрированный C2-домен h67t48ehfth8e.com, который использовался ботнетом. После его захвата удалось выявить около 700 зараженных серверов по всему миру, преимущественно в Германии, США и Китае. В ответ злоумышленники обновили Pickai, добавив новый домен - historyandresearch.com с пятилетним сроком регистрации, что указывает на долгосрочные планы эксплуатации ботнета.

Один из каналов распространения Pickai - официальный сайт Rubick.ai, коммерческой AI-платформы, обслуживающей крупные ритейл-компании, включая Amazon, Myntra и Hudson Bay. Поскольку Rubick.ai интегрирован в инфраструктуру множества клиентов, его компрометация создает угрозу для всей цепочки поставок.

Последняя версия Pickai (обнаруженная 26 мая) представляет собой 64-битный ELF-файл с динамической компоновкой. Основные функции включают:

Расшифровка строк: Критические данные (C2-адреса, скрипты персистентности) хранятся в зашифрованном виде с использованием XOR-шифрования (ключ 0xAF). Для анализа можно использовать IDAPython-скрипт, автоматизирующий расшифровку.
Персистентность: В зависимости от привилегий Pickai создает до 10 сервисов (для root) или 5 (для обычных пользователей), используя как init.d, так и systemd. Каждая копия бэкдора дополняется случайными данными, чтобы избежать детектирования по хеш-суммам.
Сетевое взаимодействие: Pickai циклически опрашивает C2-серверы, отправляя два типа пакетов: запрос команд (LISTEN|) и отчет о системе (UPDATE|). Поддерживаются команды EXECUTE (запуск произвольных команд) и REVERSE (обратная оболочка).

Pickai демонстрирует высокий уровень профессионализма злоумышленников, атакующих AI-инфраструктуру. Его скрытность и устойчивость к блокировкам делают его серьезной угрозой. Учитывая низкий уровень детектирования антивирусами, компаниям рекомендуется провести аудит систем, использующих ComfyUI, и проверить наличие подозрительных процессов.